SSL-сертификаты для почтовых доменов

Материал из ISPWiki
Перейти к: навигация, поиск

Управление SSL-сертификатами в почте

Теперь для каждого почтового домена есть возможность подключить отдельный ssl-сертификат.

Для этого при создании или редактировании домена нужно включить чекбокс Защищенное соединение (SSL)

после чего появится список подходящих для доменного имени сертификатов. Если таковых не найдется,

то Вам будет предложено сгенерировать самоподписанный сертификат.

 Заметьте, что подключения сертификатов для доменов поддерживается только в Exim и Dovecot.

Настройка функциональности

 Внимание! Подключение сертификатов к почтовому домену по-умолчанию включено только для новых установок.
 Поэтому, при обновлении существующей панели, Вам необходимо будет настроить его вручную.
  • Пройдите в директорию /usr/local/mgr5/etc/ispmgr.conf.d. В ней необходимо отредактировать два файла:
 Если Вы используете Business версию панели, то настроить необходимо каждую Вашу почтовую ноду. Для бизнеса файлы конфигурации
 будут расположены в директории /usr/local/mgr5/etc/ispmgrnode.conf.d.

exim.conf. Добавьте в конец файла конфигурации строку

 path exim-certdir /путь_до_exim/ssl

dovecot.conf. Добавьте в конец фала конфигурации строку

 path dovecot-certconf /путь_до_dovecot/certs
  • Отредактируйте файл конфигурации Dovecot, расположенный по пути

/путь_до_dovect/conf.d/10-ssl.conf. Там необходимо прописать следующее:

 ssl = yes
 ssl_cert = </etc/exim/ssl/exim.crt
 ssl_key = </etc/exim/ssl/exim.key
 !include_try /путь_до_dovecot/certs/*.conf
  • Отредактируйте файл конфигурации Exim, расположенный по пути

/путь_до_exim/exim.conf. Измените существующие настройки SSl на:

 log_selector =  \
       +all_parents \
       +lost_incoming_connection \
       +received_sender \
       +received_recipients \
       +tls_cipher +tls_peerdn +tls_sni \
       +smtp_confirmation \
       +smtp_syntax_error \
       +smtp_protocol_error
 
 # TLS/SSL
 tls_advertise_hosts = *
 tls_certificate = ${if exists{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/exim.crt}}
 tls_privatekey = ${if exists{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/exim.key}}
 daemon_smtp_ports = 25 : 465 : 587
 tls_on_connect_ports = 465

Расположение сертификатов

По-умолчанию все создаваемые для пользователя сертификаты лежат в директории

/var/www/httpd-cert/имя_пользователя. Поэтому, после редактирования или создания домена,

сертификаты для него подключаются следующим образом:

Для Exim создаются копии сертификата и ключа в директории /путь_к_exim/ssl

с именами доменное_имя.crt и доменное_имя.key

Для Dovecot в директории /etc/email/certs создаются символьные ссылки на сертификат и ключ

с именами доменное_имя.crt и доменное_имя.key соответственно. А в директории

/путь_к_dovecot/certs генерируются файлы конфигурации доменное_имя.conf содержащие запись вида:

 local_name доменое_имя {
       ssl_cert = </etc/email/certs/доменное_имя.crt
       ssl_key = </etc/email/certs/доменное_имя.key
 }

Редактирование сертификата верхнего уровня

Теперь при начальный установке к Exim и Dovecot подключается один, общий сертификат "верхнего уровня",

который может редактировать администратор.

Lite версия панели

Для редактирования пройдите Домены->Почтовые Домены и нажмите на кнопку SSL-сертификат.

На появившейся форме будет отображен текущий сертификат, его ключ и цепочка. Вы можете отредактировать

показанные данные и сохранить конечный результат.

Business версия панели

Для редактирования пройдите Настройки кластера->Узлы кластера. На этой форме кнопка SSL-сертификат становится доступна при выборе почтовой ноды. Далее сохранятеся логика работы Lite версии.